Samsung Knox - Samsung Knox

Samsung Knox
Samsung Knox.png
Разработчики)Группа Самсунг
изначальный выпускМарт 2013 г. (2013-03)
Стабильный выпуск
3.6 / 13 августа 2020; 3 месяца назад (2020-08-13)[1]
Операционная системаAndroid и Tizen
Интернет сайтwww.samsungknox.com/ en Отредактируйте это в Викиданных

Samsung Knox - это набор функций безопасности для личного и корпоративного использования, предустановленный на большинстве смартфонов, планшетов и носимых устройств Samsung.[2]

5 марта 2018 г. Samsung объявила, что устройства под управлением Knox 3.0 и выше интегрируются с аналогичными Android Enterprise Особенности.[3]

Обзор

Samsung Knox предоставляет список функций безопасности - как аппаратных, так и программных, - которые позволяют сосуществовать корпоративному и личному контенту на одном телефоне и позволяют другим разработчикам взаимодействовать с этими функциями на протяжении всего своего SDK. Некоторые из этих функций сосуществуют с уже существующими улучшениями безопасности, предоставляемыми Android.

Программного обеспечения

Контейнер Samsung Knox

Назван контейнер приложения "Knox Workspace".[4]- позволяет пользователю нажать значок, который переключает между персональным и рабочим режимом без перезагрузки.[5] Samsung заявила, что эта функция будет полностью совместима с Android и Google, обеспечит полное разделение рабочих и личных данных на мобильных устройствах и «устранит все основные бреши в безопасности в Android».[6] Отключение электронный предохранитель приведет к тому, что контейнер останется недоступным. Функция похожа, но не связана с "Android для работы ".

Samsung Defex

Начиная с Android Oreo, Samsung внесла исправления в ядро, чтобы запретить предоставление корневого доступа приложениям даже после успешного рутирования. Это сделано для предотвращения изменения системы неавторизованными приложениями и предотвращения укоренения.[7]

Защита ядра в реальном времени Samsung (RKP)

Компания Samsung реализовала функцию, которая отслеживает изменения ядра в режиме реального времени и предотвращает загрузку телефона, а также отображает предупреждающее сообщение об использовании «незащищенных» устройств Samsung. Эта функция аналогична Android dm-verity / AVB и требует наличия подписанный загрузчик.[8]

Android SE

Хотя телефоны Android уже защищены функцией «SE для Android», Samsung Knox периодически проверяет исправления, которые защищают систему от вредоносного кода или эксплойтов.

Безопасная загрузка

Перед загрузкой в ​​основное ядро ​​Samsung запускает «предзагрузочную» среду, в которой проверяет соответствие подписи всех элементов ОС. Если будет обнаружено несанкционированное изменение, сработает предохранитель, и статус системы изменится с «Официальный» на «Пользовательский».

Другие преимущества

К Samsung Knox подключены другие функции, которые упрощают использование на предприятии, такие как Samsung KMS (SKMS) для служб eSE NFC, Управление мобильными устройствами (MDM), Управление сертификатами Knox (CEP), единый вход (SSO), одноразовый пароль (OTP) и виртуальная частная сеть (VPN).[9][10][11][12]

Оборудование

Knox включает встроенные аппаратные функции безопасности: ARM TrustZone (технология, аналогичная TPM ) и ПЗУ загрузчика.[13] Knox Verified Boot контролирует и защищает во время процесса загрузки в дополнение к безопасности Knox, построенной на аппаратном уровне (представленной в Knox 3.3).

электронный предохранитель

Укорененный Samsung Galaxy S10e, с сработавшим предохранителем

Устройства Samsung Knox также используют электронный предохранитель чтобы указать, запускался ли когда-либо «ненадежный» (не Samsung) загрузочный путь. Электронный предохранитель будет установлен, если устройство загружается с использованием не подписанного Samsung загрузчика, ядра, сценария инициализации ядра или данных, с сообщением, отображающим «Установить гарантийный бит: <причина>». Укоренение Таким образом, устройство или прошивка версии Android, отличной от Samsung, сработает e-fuse. После установки электронного предохранителя устройство больше не может создавать контейнер Knox Workspace или получать доступ к данным, ранее сохраненным в существующем рабочем пространстве Knox.[14] Эта информация может быть использована Samsung для отказа в гарантийном обслуживании в США устройств, которые были модифицированы таким образом.[нужна цитата ] Это так, даже если в Соединенных Штатах аннулирование потребительских гарантий таким образом может быть запрещено Закон Магнусона – Мосса о гарантии 1975 года, по крайней мере, в тех случаях, когда проблема телефона не связана напрямую с рутированием.[15] Помимо аннулирования гарантии, срабатывание предохранителя также предотвратит запуск некоторых приложений Samsung, таких как «Secure Folder», "Samsung Pay ", "Samsung Здоровье " и "Браузер Samsung "Секретный режим. Для некоторых более старых версий Knox возможно очистить e-fuse путем прошивки специальной прошивки.[нужна цитата ]

Samsung DeX

Начиная с Knox 3.3 возможности управления Samsung DeX были добавлены для разрешения или ограничения доступа с помощью платформы Knox для дополнительного контроля и безопасности.

Samsung Knox TIMA

Названная Архитектура измерения целостности на основе зоны доверия (TIMA), эта функция позволяет хранить ключи в контейнере для свидетельство подписание с использованием TrustZone аппаратная платформа.[16]

Известные упоминания о безопасности

В июне 2014 года пять устройств Samsung были включены в список продуктов, одобренных для конфиденциального, но несекретного использования. Агентство оборонных информационных систем (DISA) Министерства обороны, которое сертифицирует коммерческие технологии для использования в оборонных целях.[17]

В октябре 2014 года исследователь безопасности обнаружил, что Samsung Knox хранит PIN-код в виде обычного текста вместо хранения соленого и хешированного PIN-кода (или, что лучше, с использованием PBKDF2 ) и обработал его обфусцированным кодом.[18]

В октябре 2014 г. Агентство национальной безопасности США (АНБ) одобрило устройства Samsung Galaxy в рамках программы быстрого развертывания коммерчески доступных технологий. Утвержденные продукты включают Galaxy S4, Galaxy S5, Galaxy S6, Galaxy S7, Galaxy Note 3, Galaxy Note 10.1 2014 г..[17]

В мае 2016 года израильские исследователи Ури Канонов и Авишай Вул обнаружили три ключевые уязвимости, существующие в определенных версиях Knox.[19]

В декабре 2017 года Knox получил сильный рейтинги в 25 из 28 категорий в отчете Gartner «Мобильные ОС и безопасность устройств: сравнение платформ» за декабрь 2017 г.[20]

В июне 2017 года Samsung прекратил выпуск My Knox и призвал пользователей перейти на альтернативный продукт, Безопасная папка.[21]

использованная литература

  1. ^ «Что нового в Knox 3.6». Команда Samsung Knox. 13 августа 2020 г.. Получено 21 сентября, 2020.
  2. ^ "Официальный документ о платформе Knox для предприятий". Samsung Knox. Самсунг. 2018-09-12. Получено 2018-10-31.
  3. ^ «Android Enterprise и Samsung Knox: здесь вы найдете ответы на ваши вопросы». Samsung Knox. 2018-02-24. Получено 2018-10-27.
  4. ^ «Контейнер приложения | Технический документ по платформе Knox для предприятий». Docs.SamsungKnox.com. Получено 2018-11-13.
  5. ^ Шоу, Рэй (23 марта 2013). «iTWire - Samsung Knox ™ BlackBerry вне баланса». iTWire. Получено 2018-10-27.
  6. ^ Голдман, Дэвид (2013-03-12). «Samsung нацеливается на BlackBerry с помощью Knox». CNN Business. Получено 2018-10-27.
  7. ^ «Отключить защиту DEFEX для рутирования устройств Samsung Galaxy на Oreo».
  8. ^ «Самсунг РКП».
  9. ^ «Samsung SSO».
  10. ^ «Samsung CEP».
  11. ^ «Samsung OTP».
  12. ^ «Samsung Knox VPN».
  13. ^ "Root of Trust | Техническая документация по платформе Knox для предприятий". docs.samsungknox.com. Получено 2018-11-13.
  14. ^ Пэн Нин (04.12.2013). "О CF-Auto-Root". Самсунг. Единственная цель этого действия по сжиганию предохранителей - запомнить, что на устройство были загружены ядро ​​или критические сценарии инициализации или данные, которые не находятся под контролем Samsung. После того, как бит электронного предохранителя сгорел, устройство с поддержкой Samsung KNOX больше не может создавать контейнер KNOX или получать доступ к данным, ранее сохраненным в существующем контейнере KNOX.
  15. ^ Коблер, Джейсон (17 августа 2016 г.). «Компании не могут юридически аннулировать гарантию на взлом или рутирование вашего телефона». Материнская плата. Получено 2018-10-27.
  16. ^ "Хранилища ключей Samsung TIMA".
  17. ^ а б Рибейро, Джон (2014-10-21). «АНБ одобряет устройства Samsung Knox для использования в правительстве». PCWorld. Получено 2018-10-27.
  18. ^ Мимозо, Майкл (2014-10-24). «Samsung Knox, одобренный АНБ, сохраняет PIN-код в открытом виде». Threatpost. Получено 2018-10-27.
  19. ^ Форрест, Коннер (2016-05-31). «Samsung Knox не так безопасен, как вы думаете». TechRepublic. Получено 2018-10-27.
  20. ^ «Введение | Технический документ о платформе Knox для предприятий». docs.samsungknox.com. Получено 2018-11-13.
  21. ^ Рутник, Митя (02.06.2017). «Samsung прекращает выпуск My Knox, призывает пользователей перейти на защищенную папку». Android Authority. Получено 2018-10-27.

внешние ссылки